### Nueva campaña de malware en macOS apunta a organizaciones cripto mediante ingeniería social y ataques a CI/CD

#### Introducción

En las últimas semanas, la comunidad de ciberseguridad ha detectado una campaña de ataques dirigida específicamente a organizaciones del sector de las criptomonedas. Orquestada por un actor de amenazas hasta ahora no documentado, la operación destaca por el uso de técnicas avanzadas de ingeniería social con temática de reclutamiento, malware personalizado para macOS y una focalización precisa sobre infraestructuras de integración y entrega continua (CI/CD). Los expertos advierten que el objetivo principal de la campaña es el robo de activos digitales, comprometiendo tanto la seguridad operativa como la financiera de las organizaciones afectadas.

#### Contexto del Incidente o Vulnerabilidad

El ataque, revelado por investigadores de Wiz, surge en un contexto donde las amenazas dirigidas a plataformas de criptomonedas han ido en aumento, dada la alta rentabilidad que supone para los actores maliciosos. A diferencia de campañas anteriores centradas en sistemas Windows o Linux, los atacantes han desarrollado herramientas específicas para macOS, ampliando el espectro de riesgo a entornos tradicionalmente menos atacados en este sector. La campaña despliega tácticas de spear phishing, haciéndose pasar por reclutadores legítimos y focalizando a desarrolladores, DevOps y otros perfiles técnicos con acceso crítico a infraestructuras CI/CD, pieza clave en los flujos de trabajo de las organizaciones cripto.

#### Detalles Técnicos

El vector de ataque inicial se basa en correos electrónicos personalizados que simulan ofertas de empleo atractivas en el sector tecnológico. Estos mensajes incluyen enlaces o archivos adjuntos maliciosos que, al ser ejecutados en dispositivos macOS, descargan un malware diseñado a medida. Este malware, aún sin un CVE asignado público, opera de forma sigilosa para evadir las protecciones nativas de macOS como Gatekeeper y XProtect, recurriendo a técnicas de empaquetado y firma con certificados robados o falsificados.

La carga útil principal emplea técnicas de persistence (MITRE ATT&CK T1547), exfiltración de credenciales (T1003) y movimiento lateral (T1021.002), con el objetivo final de acceder a entornos CI/CD, obtener secretos y credenciales (API keys, wallets, etc.) y automatizar el robo de activos digitales mediante scripts y herramientas personalizadas. Se han identificado indicadores de compromiso (IoC) como hashes de archivos, dominios de C2 y patrones de tráfico anómalo asociados al framework Metasploit y adaptaciones de Cobalt Strike para macOS.

#### Impacto y Riesgos

El impacto potencial de esta campaña es significativo, dada la naturaleza crítica de los sistemas objetivo. El acceso a CI/CD permite a los atacantes desplegar código malicioso en pipelines productivos, modificar smart contracts o incluso redirigir transferencias de activos. Según estimaciones preliminares de Wiz, alrededor del 15% de las organizaciones cripto que operan sobre macOS han sido potencialmente expuestas, con pérdidas económicas que podrían superar los 20 millones de dólares si se materializan los robos de activos.

El riesgo se agrava por la capacidad del malware de evadir soluciones EDR convencionales en macOS y por la sofisticación del phishing dirigido, capaz de engañar incluso a usuarios con formación en ciberseguridad básica.

#### Medidas de Mitigación y Recomendaciones

Los expertos recomiendan aplicar una serie de medidas para mitigar el riesgo de esta campaña:

– **Refuerzo de la autenticación**: Habilitar MFA en entornos CI/CD y restringir el acceso mediante políticas Zero Trust.
– **Monitorización avanzada**: Implementar soluciones EDR específicas para macOS y configurar alertas sobre actividad anómala en pipelines CI/CD.
– **Actualización y hardening**: Mantener macOS y todas las herramientas de desarrollo actualizadas, deshabilitar la ejecución de binarios no firmados y restringir la instalación de software fuera de la App Store.
– **Concienciación y entrenamiento**: Realizar simulacros de spear phishing dirigidos y campañas de formación específica para equipos con acceso a infraestructuras críticas.
– **Revisión de logs y búsqueda de IoC**: Analizar registros de acceso y tráfico de red en busca de los IoC publicados por Wiz y otros investigadores.

#### Opinión de Expertos

Shira Ayal, investigadora de Wiz, señala: “La personalización de malware para macOS y el targeting de CI/CD evidencia una evolución en las tácticas de los actores de amenazas, que buscan maximizar el impacto persiguiendo los puntos más críticos de la cadena de suministro de software”. Otros analistas del sector coinciden en que esta campaña podría marcar un precedente, forzando a las organizaciones cripto a reforzar sus defensas en sistemas menos tradicionales como macOS.

#### Implicaciones para Empresas y Usuarios

Para las empresas, la campaña subraya la necesidad de ampliar el perímetro de seguridad más allá de los entornos Windows y Linux, incluyendo dispositivos macOS en las estrategias de protección y respuesta ante incidentes. El cumplimiento normativo bajo GDPR y NIS2 obliga, además, a notificar brechas de seguridad de forma proactiva, lo que podría acarrear sanciones adicionales en caso de incidentes no gestionados adecuadamente. Los usuarios individuales, especialmente aquellos con roles de acceso privilegiado, deben extremar las precauciones ante mensajes de reclutamiento inesperados y verificar la legitimidad de cualquier oferta antes de interactuar con archivos adjuntos o enlaces.

#### Conclusiones

La campaña detectada constituye una amenaza avanzada y específica para el ecosistema cripto, demostrando la creciente sofisticación de los atacantes y su capacidad para adaptarse a nuevos vectores de ataque. La protección de infraestructuras CI/CD y la actualización de las políticas de seguridad en entornos macOS se presentan como prioridades ineludibles para los próximos meses. La colaboración entre equipos de seguridad, recursos humanos y desarrollo será clave para mitigar estos riesgos emergentes.

(Fuente: feeds.feedburner.com)